Sebbene il cybercrime esista dagli anni ’80, è stato il ransomware a democratizzare il furto di dati e a trasformare la criminalità informatica in un'industria redditizia e in via di sviluppo. Le aziende devono investire nella prevenzione del ransomware e interrompere il pagamento dei riscatti, che finanzia direttamente l’industria del crimine informatico. È questo il monito a cui giunge Edwin Weijdema, Global Technologist di Veeam, ripercorrendo la storia del malware e i suoi sviluppi devastanti.

I passaggi sono tutti singolarmente noti a chi si tiene informato sulla cybersecurity. Ma elencarli tutti insieme fa comprendere la dinamica di un problema che è aumentato progressivamente fino a sfuggire del tutto di mano. Per anni il malware di per sé non ha costituito una minaccia globale. Poi sono arrivate le criptovalute come il bitcoin, e la tecnologia blockchain che le protegge, che hanno fornito un metodo affidabile e quasi irrintracciabile per incassare illegalmente denaro. Questo è stato un elemento di svolta nella dinamica del cybercrime, che ha permesso a pochi gruppi che operavano nel buio di trasformarsi in aziende vere e proprie.

Non a caso Weijdema definisce il ransomware come una forma più "commerciale" di malware, che ha democratizzato il furto dei dati. Del malware ha mantenuto i metodi di installazione, come il phishing o gli URL dannosi, che non sono cambiati molto. Quella che è cambiata è stata la monetizzazione degli attacchi. A concorrere alla svolta sono stati poi una serie di passaggi tecnologici che ha permesso di arrivare al punto in cui siamo oggi, quando il 90% delle organizzazioni è stato colpito da ransomware nell’ultimo anno.

I prodotti RaaS (Ransomware-as-a-Service) che possono essere acquistati in abbonamento hanno ampliato il girò d’affari dell’industria del cybercrime permettendo anche a chi non ha molte nozioni di programmazione di scatenare attacchi. Gli alti guadagni che spettano agli affiliati attirano moltissime persone, pronte a “entrare nel giro”, soprattutto in un quadro di crisi economica come quello che sta attraversando l’Europa.

A favorire questa avanzata del cybercrime c’è stata poi la digitalizzazione accelerata e accompagnata da uno scarso livello di sicurezza informatica, che ha permesso ai criminali di attaccare pressoché indisturbati governi, ospedali e infrastrutture critiche come trasporti e scuole.

Come contrastare questa avanzata

Ci sono due livelli di contrasto. Uno, quello governativo, che deve fare uso della legge e delle Forze dell’Ordine per ostacolare il fenomeno nel sistema paese e dare attivamente la caccia agli attaccanti. La sua massima espressione è l’iniziativa statunitense che ha riunito oltre 30 Paesi per affrontare i continui attacchi ransomware alle infrastrutture critiche. Il resto (che è la parte maggiore), deve arrivare dalle singole vittime.

Weijdema sottlinea che le organizzazioni grandi e piccole, pubbliche e private in tutto il mondo, devono proteggersi e fermare il flusso di denaro di questa industria criminale. Ecco la ricetta dell’esperto di Veeam: per prevenire il ransomware è necessaria una combinazione di persone, processi e tecnologia. È inoltre importante sottolineare che, a dispetto di quanto si possa pensare, il mondo digitale e quello reale non sono poi così diversi. Le finestre aperte devono essere chiuse di notte (sistemi di patch), le doppie serrature sono meglio di una (autenticazione a più fattori), gli oggetti o le informazioni vitali devono essere chiusi in una cassaforte (protezione dei dati) e i maggiori rischi per la sicurezza sono spesso rappresentati dalle persone e dal personale (minacce interne o mancata osservanza dei processi).

Tuttavia, se da un lato la prevenzione è un elemento chiave di questa missione, e prevenire del tutto un attacco sarà sempre più economico che affrontarlo, dall'altro non è realistico aspettarsi che le aziende prevengano tutti gli attacchi su larga scala. La responsabilità non è quella di eliminare del tutto gli attacchi ransomware, ma di raggiungere un punto in cui, anche in caso di attacco riuscito, l'azienda si trovi in una posizione tale da non dover pagare le richieste: può dire "no" al ransomware.

L'ultima linea di difesa è costituita dai processi di backup e ripristino. Le richieste di ransomware possono essere ignorate quando un'organizzazione dispone di un backup dei dati critici con cui ripristinare il sistema crittografato. Tuttavia, i backup non sono tutti uguali. Poiché il ransomware e i criminali informatici sono diventati più sofisticati, i criminali informatici ora prendono attivamente di mira gli archivi di backup. Secondo il Veeam Ransomware Trends Report del 2022 gli archivi di backup sono stati presi di mira nel 94% degli attacchi ransomware, il 68% dei quali ha avuto successo.

La vecchia regola per i backup prevedeva la conservazione di tre copie dei dati, su due tipi diversi di supporti, di cui una conservata fuori sede, la cosiddetta regola del 3-2-1. La copia fuori sede serviva in caso di disastro fisico, come un incendio o un'alluvione. La copia offsite serviva in caso di disastro fisico, come un incendio o un'alluvione. Il ransomware, tuttavia, è molto più comune di questi casi, quindi, oltre a una copia offsite, le moderne strategie di backup dovrebbero includere una copia offline, air-gapped (irraggiungibile) o immutabile (non modificabile). Con questi accorgimenti e un solido processo di ripristino (design for recovery), un'azienda può resistere e riprendersi in modo affidabile dagli attacchi ransomware senza nemmeno pensare di pagare un riscatto.